TOPセキュリティ > SOARの導入に向けた5つのヒント(中)

セキュリティ

SOARの導入に向けた5つのヒント(中)

2021/06/02

Josh Fruhlinger CSO

 APIコネクターを自分で開発する必要がある場合、大半のベンダーが用意している連携用のフレームワークを使って対応できる。また、SecOpsを強化するデーモンを開発することもでき、作成可能なデーモンの種類に制約はないとMitchell氏は言う。

・自動化の前に、まずはインシデント対応のプロセスを確立する:自動化はSOARプラットフォームの大きな売りとなっているだけに、SOARを導入した企業は自動化を拙速に進めることが多い。それが大きな失敗をもたらす危険性もある。InVPNのTimothy Robinson最高経営責任者(CEO)は言う。「自動化によって、作業の流れを大幅に改善できる場合もあるが、むしろ問題の悪化につながる場合もある。効率が悪いプロセスに自動化を取り入れたら、効率の悪さに拍車がかかる」

 SOARへの移行を機に、現在のプロセスの分析と合理化を行うこと。プレイブックの作成は、それが済んだうえでの話だ。分かりやすい視覚化と連携のために、紙かホワイトボードに概略図を描くことをRobinson氏は勧める。また、多くのベンダーが用意している既製のプレイブックも、現行のプロセスを改善するうえで参考になる場合があると同氏は言う。「チームの出発点としてふさわしいかもしれない。自社のSOCに適した方法が分かってきたら、順次改良を加えていけばよい」

・自動化は入念に進める:既存のプロセスを分析するうえで考える必要があるのは、手順を直ちに自動化すべきかどうかや、そもそも本当に自動化すべきかどうかという点だ。Spreadsheet PlanetのCTO、Steve Scott氏は言う。「果てしなく難解で悪質な事例は、セキュリティアナリストが直接関与して入念に検討する必要がある。SOARの導入で常にポイントとなるのは、機械が対応する部分とアナリストが対応する部分を適切に組み合わせ、自社のSOCにとって最善のバランスを見極めることだ。自動化の主な候補となるプロセスを見定め、まずはそうした領域にSOARを取り入れる。そこから、自動化という面をどのように進めていくかを判断する」

・SOAR環境の進化を見据える:SOARの利用は長い道のりであることを頭に入れておく必要がある。自社のニーズに合わせて使い方を適切に調整するためのコツや、うまくいく方法とそうでない方法の見極め方は、実際に利用を進める中で少しずつ学んでいくことになる。TRG Datacentersのシニアネットワークエンジニア、Eric McGee氏は言う。「1回ですべてを正しく調整することは不可能だ。インシデント対応のプレイブックを1つ作るのに時間と労力をどれだけ費やしても、不備はきっとある」

翻訳:内山卓則=ニューズフロント

↑ページ先頭へ